Jails 1x IPv4, IPv6/64

thorwin

Well-Known Member
Moinsen,

ich bin grade dabei, den familiären Mail-Server endlich mal auf FreeBSD umzustellen. Dazu habe ich einen vServer gemietet, auf dem ich eine IPv4-Adresse und ein /64 IPv6 Netz bekomme.

Die einzelnen Dienste (DB, postfix, dovecot, webserver zur Administration, ...) sollen jeweils ind Jails laufen.

Also habe ich mir gedacht, ich gebe jedem jail eine IPv6-Adresse auf dem /64 und mache bei IPv4 nat und rdr.

Geht soweit, die Frage ist eher, ob man das anders machen sollte? Gibt's mit so einer Konfig irgendein Sicherheits- oder Performance-Problem? Ich sehe da erstmal kein Problem, was sagen die Experten? Mehr IPv4-Adressen will ich eigentlich nicht dazumieten...
 
Ich selbst habe für Mailserver/Webserver auch einen (sehr) kleinen vHost mit 3 Jails und NAT mit pf. Läuft reibungslos, wartungsarm und stabil.
 
Die einzelnen Dienste (DB, postfix, dovecot, webserver zur Administration, ...) sollen jeweils ind Jails laufen.

Sowas kann ich nicht empfehlen, bzw. sehe immer den Sinn dahinter nicht. Ich würde eventuell ein Jail machen für die Dienste, sodass man leichter die ganze Installation verschieben kann. Aber pro Dienst ein Jail ist in meinen Augen Humbug - man hat bereits Separation der Privilegien durch die Benutzer der unterschiedlichen Dienste.

Rob
 
Ich bin ein großer Freund modularer Setups, und so kann ich ohne Probleme einzelne Komponenten migrieren, updaten, verschieben, ...

Mir ging es in erster Linie darum, dass ich hier IPv4 und IPv6 komplett unterschiedlich behandle und ob daraus "Unannehmlichkeiten" zu erwarten sind. Dank ezjail sind die einzelnen Jails ja überschaubar klein und gut handhabbar
 
Ich habe einen VPS mit zwei IPv4 Adressen und einem IPv6 64er-Netz mit acht Jails, die aber nicht immer alle laufen. Für IPv4 nutze ich NAT und Redirects, IPv6 ohne.
Klappt ohne Probleme.
 
Ich hab auch nur eine v4 Adresse für alles und die v6 Adressen nach Diensten auf einer Kiste aufgeteilt. Filter wirst du ja sicher auch verwenden, damit bspw. Deine DB nicht im Internet hängt, oder? ;)
 
Ich hab auch nur eine v4 Adresse für alles und die v6 Adressen nach Diensten auf einer Kiste aufgeteilt. Filter wirst du ja sicher auch verwenden, damit bspw. Deine DB nicht im Internet hängt, oder? ;)
Ja klar. Für Jails, die von außen nicht erreichbar sein sollen (z.B. mariadb) gibt's kein rdr und die haben auch keine public IPv6-Adresse. Darüber hinaus steht pf per Default erstmal auf "block"
 
Ja klar. Für Jails, die von außen nicht erreichbar sein sollen (z.B. mariadb) gibt's kein rdr und die haben auch keine public IPv6-Adresse. Darüber hinaus steht pf per Default erstmal auf "block"
Warum keine public Adresse? Wenn Deine (sinnvolle) Standardeinstellung ein Block ist, und sich der Adressbereich nicht ändert, brauchst du doch nicht mit mehreren Netzen arbeiten. Privat verwende ich ULA Adressen im Heimnetz nur, weil ich keine feste IPv6 von meinem ISP bekomme, die ich dafür hernehmen könnte (auch wenn sich die momentane seit einigen Monaten nicht geändert hat).
 
Warum keine public Adresse? Wenn Deine (sinnvolle) Standardeinstellung ein Block ist, und sich der Adressbereich nicht ändert, brauchst du doch nicht mit mehreren Netzen arbeiten. Privat verwende ich ULA Adressen im Heimnetz nur, weil ich keine feste IPv6 von meinem ISP bekomme, die ich dafür hernehmen könnte (auch wenn sich die momentane seit einigen Monaten nicht geändert hat).
Hmm, da hab ich mich unklar ausgedrückt... die internen Jails haben IPv4 only. Ehrlich gesagt, ohne besonderen Grund, ich spreche die Datenbank z.B. einfach über die IPv4-Adresse des Jails an (aus RFC-1918). Könnte ich mal umbauen ;-)
 
Zurück
Oben